Útok Shatter a technologie User Interface Privilege Isolation

Abstract

Tato práce rozebírá útoky typu Shatter a bezpečnostní prvky zavedené v reakci na něj. Zaměřuje se na technologie, na kterých je jak útok, tak obrana proti němu založena. Od teoretické rešerše následně přechází k experimentům, jejichž cílem je obrany analyzovat a porovnat jejich dokumentované chování s chováním skutečným. Při testování využívá práce řadu nově vzniknuvších aplikací vytvořených přímo za tímto účelem. Výsledky experimentů jsou poté zasazeny do širšího kontextu a hodnoceny z hlediska možných bezpečnostních nedostatků. Provedeným výzkumem byly zjištěny inkonzistence v chování některých ochranných prvků. Text práce se věnuje jejich hlubšímu rozboru a zkoumá možné metody zneužití. V závěru jsou formulována doporučení pro vývojáře aplikací, která z výsledků výzkumu vychází.

This thesis analyzes Shatter-style attacks and the security mechanisms introduced to mitigate them. Its focus lies on the technologies that the attack and the defenses against it are based on. After laying down the necessary theoretical groundwork, it transitions to experimentation with the goal of analyzing the established defenses and comparing their actual behavior with the behavior that has been previously documented. To this end, several newly created programs are used. The results are put into a broader context and evaluated in terms of security deficiencies. There have been inconsistencies identified in the ways that certain defense mechanisms behave. The thesis then expands upon them and explores possible avenues of their exploitation. The last chapter leverages the results of the conducted experiments to formulate recommendations for software developers.